从官方 Elastic Search 文档中我看到:
启用审核日志记录后,安全事件将保留到每个集群节点上主机文件系统上的专用_audit.json 文件中。
如果可能的话,我正在尝试找到一种方法来配置 Elastic Search,以便将 Elastic Search 审核日志存储在不同类型的存储上。 你能帮我吗?
附注审计日志可以定制吗?我的意思是,事件是否可以通过将自定义信息包含在日志中的方式进行自定义?
谢谢
如果可能,配置 Elastic Search 以将审核日志存储在不同类型的存储上
如果您正在寻找脾气证据或抵抗脾气elasticsearch团队的建议是使用日志传送器将事件发送到具有所需特征的另一个系统。
事件是否可以通过将自定义信息包含在日志中的方式进行自定义?
它们只能根据您要排除的事件以及是否要包含事件主体进行自定义。这是通过 settings 完成的,您还可以在 log4j2.properties 文件中控制日志记录格式。
不太确定您要尝试记录哪些自定义信息,但将自定义数据与查询关联的一种方法是将其存储在查询的 X-Opaque-Id HTTP header 中。它默认记录在审核日志中。